Network Attack Process

Network Attack

네트워크 해킹 : 정보 수집, 사전 조사, foot printing

ex) IP 추적, WHOIS, scan, 배너그래빙, ping 등

정보 수집 및 사전 조사 이유 : 정보 수집을 통해 환경 조사 및 취약점을 판단 할 수 있으며 해킹하고자 할 때시간 단축 및 더 나은 결과를 도출 해낼 수 있기 때문이다.

---

정보 수집

1. Target IP 주소 확인
2. Nmap 수행

스캔

• 서비스를 제공하는 서버의 작동 여부와 여러 있는 서비스를 확인
• 네트워크는 기본적으로 요청을 보내면 응답을 받는 구조이다.

스캔의 종류

• ARP Scan
  • ARP 프로토콜을 이용해서 네트워크 대역의 정보를 확인한다.
  • ARP Request → 살아있는 호스트는 ARP Reply를 응답
  • ARP는 막아버리면 통신이 안되기 때문에 막아 놓을 수 없다.
  • ARP 프로토콜은 라운터를 넘지 않기 때문에 같은 네트워크의 정보만 알 수 있다.
• ICMP scan
  • ICMP 프로토콜을 이용해서 target까지 도달할 수 있는지와 OS 정보 등을 알 수 있다.)
  • 보안 문제상 요즘의 장비들은 ping을 막고 있다.
• TCP/UDP Scan
  • Half-Open Scan : 로그를 남기지 않기 위해서 SYN 패킷을 전송 후 포트가 열려있다는 SYN+ACK 패킷이 오면 RST 패킷을 날려 세션을 종료한다.
  • UDP Scan : UDP 패킷을 날리고 ICMP Unreachable 패킷이 오면 포트가 닫힌것이다.
• Stealth Scan
  • Stealth Scan : 역시 로그를 남기지 않기 위해서 FIN, NULL, X-mas가 설정된 패킷을 날리고 포트가 닫혀있다면 RST 패킷이 온다.
  • FIN Scan : Syn 패킷이 막혀있을 때 사용하는 방법으로, TCP 플래그 값에 FIN 값을 설정하고 패킷을 보내는데, 포트가 열려있거나 방화벽에 의해 필터링 되고 있으면 아무런 응답이 없고, 포트가 닫혀있으면 RST 패킷이 온다. (이론은 이렇지만 실제로는 동작하지 않는다는 썰이 있다.)
  • X-mas Scan : TCP 플래그 값을 모두 설정하거나 SYN+FIN과 같은 이상하게 조합한 패킷을 보내어 포트가 열려있다면 아무런 응답이 없고, 포트가 닫혀있다면 RST+ACK 패킷이 온다.
  • NULL Scan : TCP 플래그 값을 설정 안하고 패킷을 보내어 스캔하는데, 포트가 열려있거나 방화벽에 의해 필터링 되고 있으면 아무런 응답이 없고 포트가 닫혀있으면 RST 패킷이 온다.

배너그래빙(Banner Grabbing)

• Telnet 또는 FTP와 같이 서비스에 연결하여 로그인을 수행할 때 나타나는 안내문을 이용하여 정보를 수집하는 것

배너 : 접속한 시스템에 대한 간단한 정보를 서술하는 안내문

해결 방안 : vim /etc/issue.net의 내용을 수정한다.